Passwörter sind für fast jeden Menschen zu einem Teil des täglichen Lebens geworden. Wir nutzen sie als unsere digitalen Safecodes und schützen so unsere Daten, unser Geld, unsere persönlichen Daten und Konten. Da Cyberkriminelle immer neue Taktiken entwickeln , um digitale Identitäten und kritische Informationen auszunutzen, ist der Schutz unserer digitalen Vermögenswerte und die Gewährleistung einer starken Passwortsicherheit wichtiger denn je. Anlässlich des Weltpassworttags sollten wir über diesen Eckpfeiler der Cybersicherheit nachdenken und überlegen, was Sie für die Sicherheit Ihres Unternehmens tun können.
Angesichts der zunehmenden Komplexität der Cyberbedrohungen darf es bei der Passwortsicherheit nicht nur um die Erstellung sicherer Passwörter gehen, sondern vielmehr um die Förderung einer Sicherheitskultur, die alle Unternehmensebenen durchdringt. Die alten Regeln gelten natürlich weiterhin. Man sollte sich also bewusst sein, wo man Passwörter speichert und sie nicht auf unsicheren Websites eingeben, die beispielsweise nicht durch Zertifikate einer Zertifizierungsstelle gesichert sind oder über nicht vertrauenswürdige Netzwerke laufen. Dabei darf man aber die komplexeren Entwicklungen im Bereich der Sicherheit sowie die Bedrohungen nicht aus dem Blick verlieren.
Sicherstellung von Passworthygiene in Ihrem Unternehmen
Der erste Schritt zu mehr Sicherheit bei Passwörtern ist die Entwicklung einer Kultur der strengen Passworthygiene. Unter Passworthygiene versteht man die Auswahl, Verwaltung und Pflege sicherer Passwörter zum Schutz von Konten und Systemen vor Cyberkriminellen.
Dies umfasst unter anderem Folgendes:
- Erstellung von Passwörtern – Sicherstellung, dass sie nicht offensichtlich, häufig oder leicht zu hacken sind. Laut NordPass ist das am häufigsten verwendete Passwort ist immer noch 123456 – es kann in weniger als einer Sekunde geknackt werden. Je länger ein Passwort ist, desto besser. Die Passwortlänge beeinflusst die zum Knacken benötigte Zeit exponentiell. Und eine Kombination aus Sonderzeichen und Zahlen kann bei Brute-Force-Angriffen viel seltener geknackt werden.
- Kontovariation – Auswahl eindeutiger Passwörter – 13% der Benutzer verwenden für alle Konten dasselbe Passwort und 52% verwenden ein Passwort für mehrere Konten wieder. Die Wiederverwendung von Passwörtern kann dazu führen, dass einzelne Konten leicht geknackt werden. Denn sobald das Passwort eines Kontos bekannt ist, ist der Zugriff auf alle anderen Konten möglich.
- Passwortsicherheit – Es ist wichtig, persönliche Passwörter geheim zu halten. Und das wirklich gegenüber jedem! Jede digitale Kommunikation ist dem Risiko ausgesetzt, abgefangen und gelesen zu werden. Das gilt auch, wenn Sie die Person kennen, der Sie Informationen anvertrauen, und diese keine bösen Absichten verfolgt, aber ungesicherte E-Mails nutzt.
Schlechte Passworthygiene kann teure Folgen haben, zum Beispiel Datenschutzverstöße oder Angriffe vom Typ Denial of Service (DoS). Sicherheitsadministratoren sollten daher regelmäßig Zeit und Ressourcen investieren, um die Benutzer über die Bedeutung der Passworthygiene aufzuklären. Dadurch lassen sich die Auswirkungen von Verstößen mindern.
Wie können Passwörter missbraucht werden?
Zunächst ist es wichtig zu wissen, wie ein Passwort überhaupt kompromittiert werden kann. Um an gesicherte Informationen zu gelangen, probieren Hacker meist verschiedene Methoden aus. Am häufigsten sind die folgenden:
- Brute-Force-Angriffe: Bei einem solchen Angriff versucht ein Angreifer durch Ausprobieren, die richtige Kombination für Anmeldeinformationen, Verschlüsselungsschlüssel oder versteckte Webseiten zu erraten, meistens durch ein generatives System. Es gibt viele Varianten von Brute-Force-Angriffen, aber im Allgemeinen erraten diese Systeme oft zuerst gängige Passwortnamen und testen mehrere Variationen davon. Wenn Sie ein Passwort mit höchstens 6 Zeichen verwenden, ist dies innerhalb weniger Stunden möglich, bei einem einfach gehaltenen Passwort sogar sofort.
- Phishing-Angriffe: Ein Angreifer gibt vor, von einem seriösen Unternehmen zu sein, um sich Zugang zu sensiblen und vertraulichen Daten zu verschaffen oder um bösartige Software wie Ransomware einzuschleusen. Phishing-Angriffe sind eine der Hauptursachen für Datenschutzverletzungen in Unternehmen, da ihre Verhinderung von dem Bewusstsein der Mitarbeiter und deren Schulung abhängt.
- Credential Stuffing: Ein Angreifer verwendet die aus einer früheren Datenschutzverletzung erlangten Anmeldedaten und versucht, sich damit bei einem anderen Dienst anzumelden. Die Wahrscheinlichkeit ist groß, dass eine E-Mail-Adresse bei einem früheren Datenschutzverstoß bereits kompromittiert wurde. Das kann dann den Zugang zu anderen Konten ermöglichen, die mit dieser Adresse verknüpft sind, falls deren Passwörter ähnlich oder gleich sind.
Ein geeignetes Passwort, das die Regeln der Passworthygiene beachtet und somit nicht leicht zu knacken ist, kann zwar helfen, viele Datenverluste zu verhindern, ist aber dennoch nicht narrensicher. In Großbritannien gab die Hälfte der Unternehmen an, im Jahr 2023 irgendeine Art von Cybersicherheitsverstoß erlebt zu haben. Wenn es also nicht ausreicht, das Bewusstsein zu Passwörtern zu schärfen – was hilft dann?
Was ist Hashing?
Beim Hashing wird eine Eingabe in eine zufällige Zeichenfolge mit identischer Länge umgewandelt. Mithilfe von Hashes lassen sich Umfang und Informationsgehalt des ursprünglichen Eingabewertes verschleiern. Dadurch können Sie Daten verifizieren und Ihre Passwörter vor verschiedenen Angriffsarten schützen.
Beispielsweise sind DoS-Angriffe wie Wörterbuchangriffe, die nach Begriffen suchen, die häufig als Passwort verwendet werden, bei gehashten Passwörtern unwirksam, da die Passworteingabe durch den Hash randomisiert wird. Hashes eignen sich auch zur sicheren Speicherung von Kryptowährungen, da sie die Passwörter Ihrer Krypto-Wallet-Konten durch eine weitere Verschlüsselungsebene ergänzen.
Passwort-Salting
Passwort-Salting wird in Verbindung mit Hashing verwendet. Um ein Passwort mit einem Salt zu versehen, werden jedem Passwort vor dem Hashen zufällige Ganzzahlen und Zeichenfolgen hinzugefügt. Ein Salt ist ein zufälliger, sehr großer Wert, der mit Hilfe eines sicheren Zufallszahlengenerators oder Zufallsbitgenerators erzeugt wird. Salts werden mit jedem Passwort-Hashwert auf Ihrem Server gespeichert, so dass für die Passwörter eindeutige Hashwerte erstellt werden.
Kombination von Salting und Hashing
Passwörter mit einer Kombination aus Salt und Hash sind sicherer als Klartext-Passwörter oder Hashes ohne Salt, da sie die Stärke des Saltings mit der Zuverlässigkeit des Hashings kombinieren. Hacker können Ihre Datenbank nicht nach Passwörtern oder den zugehörigen Hash-Werten durchsuchen, da diese nicht mit häufig oder gemeinsam genutzten Passwörtern übereinstimmen. Darüber hinaus sind Passwörter mit Salting und Hash zu unpraktisch und umständlich, um sie von Fall zu Fall zu ermitteln.
Es ist wichtig, dass böswillige Akteure das verwendete Salt nicht erkennen können. Daher müssen die Salts vor dem Hashing eindeutig und zufällig generiert werden. Das Ziel besteht darin, einen Hash zu erstellen, der die Berechnung von einzelnen Passwörtern mit einzelnen Salts zu schwierig macht.
Das verhindert, dass böswillige Akteure Skripte und KI verwenden, um Ihre mit Hashes und Salting versehenen Passwörter zu knacken. Dadurch können Sie Ihre Datenbanken noch sicherer machen und in Kombination mit der Sicherheit eines Multi-Faktor-Authentifikators den Zugriff auf ein Konto äußerst schwierig gestalten.
Multi-Faktor-Authentifizierung (MFA)
Es ist wichtig, sichere Passwörter zu erstellen. Allerdings können Sie oder Ihr Unternehmen dadurch trotzdem angreifbar sein – und selbst die stärksten Passwörter können kompromittiert werden. Gute Passwörter sind lang und komplex und enthalten eine Kombination aus Buchstaben, Zahlen, Groß- und Kleinschreibung und Sonderzeichen. Doch das allein reicht nicht immer aus, um Angreifer abzuwehren. Unternehmen sollten daher auch eine Multi-Faktor-Authentifizierung einbinden, um starke digitale Sicherheit zu gewährleisten.
Das erhöht die Sicherheit der Systeme und macht Angriffe aus den meisten Quellen nahezu unmöglich. Microsoft schätzt dass die MFA 99,9% aller Angriffe auf Konten blockieren kann. Die Verwendung einer MFA ist die beste Verteidigung gegen Datenschutzverletzungen und sollte in Bezug auf die Sicherheit in jedem Unternehmen höchste Priorität haben.
So schützen Sie Ihre Passwörter
Angesichts der zunehmenden Bedrohungen der Cybersicherheit ist es wichtig einzusehen, dass der Schutz von Passwörtern keine einmalige Maßnahme ist, sondern eine kontinuierliche Verpflichtung darstellt. Damit Unternehmen ihre Abwehrmaßnahmen gegen Cyberangriffe stärken und die Integrität und Vertraulichkeit ihrer digitalen Assets schützen können, ist ein ganzheitlicher Ansatz zur Kontosicherheit erforderlich.
In dem sich ständig weiterentwickelnden Bereich der digitalen Identität und Sicherheit sind unsere Passwörter nur eine der Sicherheitsebenen zwischen Ihrem Unternehmen und einem möglichen Verstoß. Der Passwortschutz erfordert eine gute Sicherheitsschulung im Unternehmen, eine Kultur der Wachsamkeit sowie einen proaktiven Sicherheitsansatz. Mit Blick in die Zukunft sollte uns der Weltpassworttag daran erinnern, wie unverzichtbar robuste Passwortsicherheit für den Schutz unserer digitalen Welt ist.
Passwortsicherheit durch Multi-Faktor-Authentifizierung verbessern
